material de apoyo seminario 1 dia.pdf

5/21/2018 Material de Apoyo Seminario 1 dia.pdf

1/220

Siemens Energy &Automation

Por: L. Garcia

Siemens Global Process Safety Initiative

Simatic S7-400F & FH

Siemens Energy & Automation

IntroduccinIntroduccin

Algunas historias


2/220


Three Mile Island ...Three Mile Island ...

30 minutes f rom30 minutes from


Despus de Three Mile Island, pero antes deChernobyl, los directores del Soviet Academy ofSciences dijeron :

Los reactores soviticos sern pronto tanseguros, que los podremos instalar en laPlaza Roja.

Cuando el gerente de la planta de Bhopal fue

informado del accidente, dijo con incredulidad :La fuga de gas simplemente no puede ser demi planta. La planta est parada. Nuestratecnologa no puede fallar. No es posible tenerfugas.


3/220


Muy fcil!

Haga lo que los franceses hicieron hace

200 aos ...

Pasaron una ley que obligaba a los

fabricantes de explosivos a vivir en la

fbrica ...

Con sus familias!

Podemos hacer eso ???

EPA !!!Un Momento !! !


Una ley de seguridad fue pasada por el Congreso

Norteamericano, porque los nios quedaban

atrapados en los refrigeradores y se sofocaban,

mientras jugaban en refrigeradores en desuso.

Pero cuando se los oblig por ley, inventaron el

sistema de cierre magntico, que no slo evita el

peligro, sino que es ms barato que el diseo

anterior.

Los fabricantes insistan en que no se poda

disear un gancho de cierre ms seguro.


4/220


El crculo del saber

Conocimiento

Conocimiento


Ciencia y Juegos de azarLa diferencia entre la ciencia y un juego, es que el cientfico

anota resultados y desarrolla un modelo que lo explique,

mientras que el jugador culpa al azar - Isaac Newton

El crculo del saberMantengmonos suficiente tiempo afuera

Nobel de EconomaLos ltimos premios Nobel de economa, se entregaron a

personas que desarrollaron modelos matemticos para evaluarriesgo a la inversin, convirtiendo en ciencia lo que era poco

ms que juego legalizado New York Times, SE Wall Street


5/220


Lo que aparenta ser al principio ms barato, puede

muy bien no serlo al final

Ferrari hecha en Italia

Ferrari ensamblada en Taiwn

Para La maquina !!


Por: L. Garcia


Unidad 1

Definicin de Un Sistema

Instrumentado de Seguridad

(SIS)


6/220


Agenda

1. Definicin de un SIS y sus Funciones de

Seguridad

2. Capas de Proteccin

3. Riesgo y Gerencia de Riesgo

4. Definicin de PFD, PFS y Disponibilidad

5. Certificaciones SIL de un SIS

6. Definicin de Confiabilidad


QuQu es un SPEes un SPE SIS?...SIS?... QuQu hace?hace?

Consideremos primero un Sistema Bsico de Control de proceso

TP

SBCP

Luego un Sistema de Paradas de Emergencia

TP

SIS

Separacin

Fallas Paran La planta

Sistema Durmiente

Lgica Directa


7/220


PT

BPCS

PT

ESD

Hay tres elementos bsicos en un Sistema de paradas de Emergencia(SPE) Sistema Instrumentado de Seguridad (SIS)

Sistema Electrnico Programable Sensores

Elementos Finales de Control } Define SIL

Define SIL

3 Elementos3 Elementos

SIL Nivel Integral de Seguridad(Safety Integrity Level)

SIL Nivel Integral de Seguridad(Safety Integrity Level)

Definicin Bsica de FuncinInstrumentada de Seguridad

(Safety Instrumented Function SIF)

Qu

u

es un SPE

s un SPE

SIS?...

IS?...

Qu

u

hace?

ace?


TP

SBCP

TP

SIS

Quu es un SPEs un SPE SIS?...IS?... Quu hace?ace?


8/220


Tener mltiples Capas de Proteccin Seguro Mecnico

Alto Nivel

Alarma Al to Nivel

Nivel de Proceso

Accin del SIS

Bajo Nivel

TP

SBCP

TP

SPE

Qu

u

es un SPE

s un SPE

SIS?...

IS?...

Qu

u

hace?

ace?


Punto deDisparo

Seguro Mecnico

Alto Nivel

Alarma Alto Nivel

OperadorToma Accin

Nivel de Proceso

Accin del SIS

Bajo Nivel

Nivel Normal

TP

SBCP

TP

SPE


Est

esplotando

la planta,

o es otro

simulacro?

Texas City


9/220


TP

SBCP

TP

SPE

Qu

u

es un SPE

s un SPE

SIS?...

IS?...

Qu

u

hace?

ace?


Accin SPE

Para Reducir el Riesgo a un Nivel Aceptable

R.

ProcesoProceso

Riesgo inherente

al Proceso

Nivel Riesgo

AceptableNivel Proceso

Nivel Alarmas

TP

SBCP

TP

SPE


Otros


10/220


Todo Proceso envuelve RiesgoRiesgo es una medida de la probabilidad de ocurrencia y laseveridad del efecto adverso; o sea: Que tan frecuentemente

puede pasar, y cuales son las consecuencias si pasa?Corporaciones y Gobiernos determinan ... Niveles de Riesgo Aceptables

Necesitamos un SIS ..?


Debemos definir ..



11/220


Como

Evaluamos

Riesgo?

RiesgoEstimado

CriterioPolticas

Si

ACEPTABLE

NivelRiesgo

Acep table

Medidas paraMitigar

RiesgoNO

Frecuencia Consecuencia


Peligro


Riesgo Despreciable

Al to Riesgo

Conceptos Fundamentales de IEC 61508



12/220


Al to Riesgo

Riesgo Inaceptable


Riesgo Despreciable



Riesgo Aceptable



Riesgo Inaceptable

Al to Riesgo

Riesgo Despreciable


13/220


Riesgo Inaceptable

Riesgo Tolerable



Al to Riesgo

Riesgo Despreciable

Riesgo Aceptable


Poniendo Riesgo en Perpectiva

Example: number of fatalities

Fumar 20 / dia 5000x10-6 per year

Accidente de Automvi l 150x10-6 per year

Accidente en la va 100x10 -6 per year

Accidente en el Trabajo 10x10 -6 per year

Que le caiga un Rayo encima 0.1x10 -6 per year

Que lo Muerda una Culebra 0.1x10 -6 per year Que se caiga su avin 0.02x10 -6 per year



14/220


Riesgo Tolerable



Al to Riesgo

Riesgo Despreciable

Riesgo Aceptable

Riesgo Inaceptable


Por qu usas

cinturn de

seguridad si

fumas 40cigarros al

da?

Qu?

Pepe!




15/220


Riesgo Inaceptable

Riesgo Tolerable



Al to Riesgo

Riesgo Despreciable

Riesgo Aceptable

Despreciable

Menor

Serio

Severo

Catastrfico

Improbable

Remota Ocasional Probable Frecuente

Baja Moderada Alta

Consecuencia

Frecuencia

Extenso

Moderado

Menor

Alt o

Alto

Alto

AltoAlt oAlto

Bajo

Bajo

Bajo

Bajo

Bajo Bajo Bajo

Moderado Moderado

Moderado Moder ado

Moderado

Moderado

Mod er ad o Mod er ad o

Alt o

Moderado

Moderado

Moderado


Despreciable

Menor

Serio

Severo

Catastrfico

Improbable


Baja Moderada Alta

Conse

cuencia

Frecuencia

Extenso

Moderado

Menor

Alt o

Alto

Alto

AltoAlt oAlto

Bajo

Bajo

Bajo

Bajo

Bajo Bajo Bajo

Moderado Moderado

Moderado Moder ado

Moderado

Moderado


Alt o

Moderado

Moderado

Moderado

A

B

Mitigacin

CDE

Proteccin: Disminucin de probabilidades

A B Capa de Mit igacin

B E Capas de Proteccin




16/220


1959-63 1964-68 1969-73 1974-78 1979-83 1984-88

Periodo

00.2

0.4

0.6

0.8

1

1.2

1.4

1.6Billones de Dlares

Fuente - Oil & Gas Jour nal, Aug. 27, 1990

Prdidas Mundiales por accidentas en la Industria Petrolera

Ejercicios: 1- Antecedentes Histricos


20.0%44.0

%

15.0%

6.0%

15.0%

Cambios Despus de ArranqueEspecificaciones

Diseo e Implementacin

Instalacin y Arranque

Operacin y Mantenimiento

Quin es responsable?Quin es responsable?

From Out Of Control A compilation of incidents involvingcontrol systems, by the UK HSE(Similar findings have been reported by others)

Prdidas por accidentes en la industria petrolera mundial



17/220


Determine que errores son atribuibles al Diseo

Determine que errores son atribuibles a la Implementacin

Determine que errores son atribu ibles a los Cambios despus de Arranque

Determine que errores son atribuibles al Mantenimiento


Cambios Despus de Arranque

Especificaciones

Diseo e ImplementacinInstalacin y Arranque

Operacin y Mantenimiento

Piper-Alpha


Algunas veces no hay ALTERNATIVA Regulaciones ambientales OSHA 1910.119 EPA 40CFR Parte 68 NFPA 85 y/o NFPA 86 Regulaciones Europeas

Otras veces es una decisin corporativa(Gerencia de Riesgo)

Identifica Peligros Seguridad de los Empleados Seguridad de La Comunidad Responsabilidad Legal Prdidas Materiales Imagen de La Empresa

Realmente lo necesitamos?Realmente lo necesitamos?



18/220


Anlisis Cualitativo: Frecuencia

Nivel

Alta

Alta

Mod.

Bajo

Bajo

Descripcin

Frecuente

Probable

Ocasional

Remota

Improbable

Individual

Puede ocurrir confrecuencia

Ocurrir variasveces en la vida delequipo

Puede ocurrir algunavez en la vida delequipo

No probable, pero

posibleTan improbable quepuede asumirse queno va a pasar

Inventario

Ocurrecontinuamente

Ocurrirfrecuentemente

Ocurrir variasveces

No es probable,

pero puede ocurrir

Muy improbableaunque posible

Frecuencia de ocur rencia



Anlisis Cualitativo: Severidad


Nivel

Ext.

Ext.

Mod

Menor

Menor

Nivel

Ext.

Ext.

Mod

Menor

Menor

Descripcin

Catastrfico

Severo

Serio

Menor

Despreciable

Descripcin

Catastrfico

Severo

Serio

Menor

Despreciable

Colectivo

Fugas externascontaminantes

Fugas Externas nocontaminantes

Fugas internas nocontenidasinmediatamente

Fugas Internascontenidasinmediatamente

Sin Fugas

Colectivo

Fugas externascontaminantes

Fugas Externas nocontaminantes

Fugas internas nocontenidasinmediatamente

Fugas Internascontenidasinmediatamente

Sin Fugas

Produccin y/oequipo

Prdidas > M$1.5

Prdidas entre$500K y M$1.5

Prdidas entre

$100K y $500K

Prdidas entre$2,500 y $100K

Prdidas < $2,500

Produccin y/oequipo

Prdidas > M$1.5

Prdidas entre$500K y M$1.5

Prdidas entre

$100K y $500K

Prdidas entre$2,500 y $100K

Prdidas < $2,500

Consecuencia PotencialesConsecuencia Potenciales

Individual

Muerte

Prdidasde

Produccin

Tratam.Mdico

PrimerosAuxilios

SinHeridos

Individual

Muerte

Prdidasde

Produccin

Tratam.Mdico

PrimerosAuxilios

SinHeridos


19/220


Despreciable

Menor

Serio

Severo

Catastrfico

Improbable


Baja Moderada Alta

Consecuencia

Frecuencia

Extenso

Moderado

Menor

Alt o

Alto

Alto

AltoAlt oAlto

Bajo

Bajo

Bajo

Bajo

Bajo Bajo Bajo

Moderado Moderado

Moderado Moder ado

Moderado

Moderado


Alt o

Moderado

Moderado

Moderado

A

B

Mitigacin

CDE

Proteccin: Disminucin de probabilidades



Un ejercicio simple: Nmero de accidentes en diez aos (Histrico)

Costo promedio por Accidente

Costo del Riesgo: Costo = Frecuencia x Costo por accidente

Ejemplo: 5 accidentes en 10 aos en 50

Instalaciones Costo promedio por accidente:

US $ 4.500.000

Costo del Riesgo: Costo = 5/50 x 4.500.000/10 =

US $ 45,000 por ao por instalacin

1 Riesgo en trminos Tangibles $$$$



20/220


11

1

0

0

22

2

1

13

2

2

3

1 1

3

2

2Severidad

Probabilidad

Cantidad y/o

Efectividad de

Capas Adicionales

EsteesEL

truco!

EsteesELt

ruco!

2 Arreglo en tres Dimensiones



2 Arreglo en tres Dimensiones

Evento InicialCapa de

Proteccin #1

Capa de

Proteccin #2

Capa de

Proteccin #3

Capa de

Proteccin #4Resultado

Prdida de Agua

Refrigerante en Reactor

Operador

Responde

Sobre diseo en

el ReactorVlvula de Alivio

Inhibidor de

FlamaFuego/Explosin

PFD Frecuencia

PFD 0.3 1.58E-05

PFD 0.07

PFD 0.01

0.15

0.143 Por Ao

No hay Evento

Ejemplo:

Reactor que pierde refrigeracin, produce unaumento de temperatura que genera peligro de explosin, seprotege con entrenamiento al operador, sobredimensionado

del contenedor, vlvula de alivio e inhibidores de llama.

Anlisis de Capas De Proteccin CDP o LOPA


21/220


3 CDP

(LOP)

Vs. Riesgo

Compare el Costo de una Capa

de Proteccin con el Costo del

Riesgo asociado

Si un SIS reduce la frecuencia de

accidentes 10 veces, en nuestro ejemplo

anterior, el costo del riesgo se reduce a

US$ 4,500 (un ahorro de US$ 40.500)

Ahorro Total / Ao / Instalacin =

= US$ 45.000 4.500 Costo del SIS =

= US$ 40.500 Costo del ciclo de vida del CDP (LOP)



3 CDP

(LOP)

Vs. Riesgo

PV = M (1 (1 + R)

-N

)/ R

Donde:PV Es el valor actualM Es el pago anualR Es la tasa de IntersN Es el nmero de aos en servicio

En el ejemplo anterior:

Para una tasa de inters del 8%, y 20

aos de servicio con un costo del ciclo

de vida de US $ 500.00 / Ao / Inst.:

El sistema debe de costar menos de

US $ 392,725.89

para ser Buen Negocio


22/220


PT

BPCS

PT

ESD

... Entonces en nuestro ejemplo:

Nivel de Riesgo Aceptable = Probabilidades de que

falle la primera Capa de Proteccin (Tasa de Demanda

del Sistema de Control) x Probabilidad de que falle en

forma peligrosa la Segunda Capa De Proteccin

(PFDpromedio SIS)

Cual Elegimos ..?



TP

SBCP

TP

SIS

Separacin

Fallas paran la Planta

Sistema Durmiente

Lgica Directa

Peligro = Tasa de Demanda x PFDav.

Cual Elegimos ..?


23/220


Cualitativamente, que sistema es Mejor ?

Cual falla menos?Relevadorescon pruebasMensuales

No! EstadoSlido conpruebas anuales

Y que hay deldiagnstico?

PLCs, el vendedordice que no hay

que probarlos

Una locura!TMRcon sensorestriples?

OK!Pero y las

vlvulas?

Si! Y que hubode Causa ComnEh? Que hubo?

Y lacomplejidad?

Vamos, vamos! unDCS no es suficiente?

Cual Elegimos ..?


Afortunadamente alguien est ayudando!

ISA

AIChE

ASME

CMA

IEC

IEEE

CCPs

ISA

AIChE

ASME

CMA

IEC

IEEE

CCPs

Qu usar ... ?Qu usar ... ? Cual Elegimos ..?


24/220


Norma - Standard ISA para SIS creada para satisfacer la:

OSHA CFR 1910 119

(Para plantas que utilizan ciertos qumicos en ciertascantidades)

Define Niveles Discretos de SeguridadConocidos por las siglas SIL

( Safety Integrity Level )

Hay tres Niveles SIL para aplicacionesIndustriales (SIL 1, SIL 2, y SIL 3)

Cual Elegimos ..?


y qu es un SIL?

Son Niveles discretos deSeguridad basados en:

Probabilidad de Falla en

Demanda

en un sistema dado ( PFD )

Cual Elegimos ..?


25/220


... Y qu es Probabilidad de Falla en Demanda?Un sistema cualquiera tiene probabilidades estadsticas de fallaren sus funciones en un momento dado.Las probabilidad de que un sistema trabaje correctamente en unmomento dado es llamada Disponibilidad del sistema.

Probabilidad Op. exitosa = Disponibilidad

Probabil idad de Fallar = PFS + PFD

Probabilidad de Falla Segura o Tasa de Molestia

Probabilidad de Falla Peligrosa o Falla en

Demanda

Si hay una falla, existe la probabilidad de que la misma sea Segura o de que la misma sea Peligrosa o en Demanda

PFS

5,0%PFD5,0%

Disponibilidad90,0%

Factor de Reduccin de Riesgo (FRR) es la inversa de PFD > FRR= 1 / PFD

Cual Elegimos ..?


Niveles SIL (Criterio de Cumplimiento Cuantitativo)

Cual Elegimos ..?

1000 a 10000

Nivel (SIL)

Probabilidad deFalla en Demanda

(PFDpromedio)(Operacin en Modo Demanda)

Factor deReduccin deRiesgo (FRR)

SIL 3 0.001 - 0.0001

SIL 2 0.01 - 0.001 100 a 1000

SIL 1 0.1 - 0.01 10 a 100

SIL 4 0.0001 - 0.00001 10000 a 100000


26/220


Clasificacin de un SIS Instituciones independientes certifican que los sistemas

tiene un rendimiento que alcanza cierto nivel SIL de

acuerdo a la 61508

PT

BPCS

PT

ESD

En nuestro ejemplo:

- Si el nivel de Riesgo aceptable es un accidente cada 10.000 aos

- Si el sistema de control tiene una probabilidad de falla de una vez

cada 50 aos.

Cual Elegimos ..?

Evento Inicial Capa de proteccion Resultado Riesgo aceptable

SIS 0,02 x PFD Aveg 0,0001

Falla del Lazo de

ControlPDF Aveg

0,02

Peligro = Tasa de Demanda x PFDpromedio


Clasificacin de un SIS

Instituciones independientes certifican que los sistemas

tiene un rendimiento que alcanza cierto nivel SIL de

acuerdo a la 61508

PT

BPCS

PT

ESD

En nuestro ejemplo:



cada 50 aos.

De la tabla:

El SIS debe estar certificado a un nivel

SIL 2

Peligro = Tasa de Demanda x PFDpromedio

Cual Elegimos ..?

En nuestro ejemplo:



cada 50 aos.

- Entonces 0,0001 = 0,02 x PFDpromedio- PFDpromedio = 0.0001/0.02 = 0.005


27/220


Equivalencias aprox imadas ent re DIN V 19250 & IEC61508Equivalencias aprox imadas ent re DIN V 19250 & IEC61508

DIN V 19250(W3)

AK1

AK2

AK3

AK4

AK5

AK6

AK7

AK8

IEC61508(W3)

SIL1

Sin RequerimientosEspeciales

SIL 2

SIL 3

SIL 4


Dibuje un diagrama LOPA (CDP) que describa la siguiente situacin

Ejercicios: 2- Anlisis LOPA (CDP)

Reactante B

Refrigerante

Agit ador

Reactante A

Y Agua

Producto Final

Drenaje

A lu gar segu ro


28/220


TP

SBCP

TP

SIS

Separacin

Fallas Paran La Planta

Sistema Durmiente

Lgica Directa

Cual Elegimos ..?



Confiabilidad: Probabilidad de que funcione

correctamente durante un tiempo determinado

Confiabilidad se obtiene:

Evitando Causa Comn

Separacin Fsica

Operacin asincrnica

Fortaleza (Causa comn)Tolerancia a fallas (Redundancia)

Diagnsticos

Cual Elegimos ..?


29/220


Esfuerzos / for taleza

Ocurrencia

Ocurrencia de Esfuerzos Ocurrencia de Fortaleza

Como explicamos Fortaleza ..?Como explicamos Fortaleza ..?Causa ComnCausa Comn

Cual Elegimos ..?

Programacin

Proteccin


Profisafe

Estacin de Ingeniera Estacin de Operacin

ccmo explicamos Separacimo explicamos Separacin ..?n ..?

Cual Elegimos ..?


30/220


Un SIS es un sistema independiente, compuesto de sesores,procesadores y elementos finales de control, con la finalidadde llevar el proceso a un estado seguro cuando ciertas ypredeterminadas condiciones han sido violadas.

Profisafe Profibus DP

Industrial Ethernet

Estacin de Ingen ier a Estacin de Operacin

SBCPSIS

Punto deDisparo

Alarma Alta Presin

Alarma A lta

Presion

Control de Proceso

Acci n SPE

Bajo Nivel

Presin Normal

Presin

VS VCP TP1 TP2

SP

Conclusin


Analice y Just if ique (de ser apl icable) un SIS

Ejercicios: 3 Diseo y Justificacin

Reactante B

Posible SIS

Refrigerante

Agit ador

Reactante A

Y Agua

Producto Final

Drenaje

A lug ar segur o

Posible SIS

Posible SIS


31/220


Quiere saber ms ...?

1. Lea el libro de Paul Gruhn (ISA):

Safety Shutdown Systems

Design, Analysis and Justification

Referencias


Resumen

1. Discutimos las razones y necesidades del uso de sistema

crticos as como las normativas y estndares vigentes en

la indstria.

2. Defi nimos:

SIS (Sistema Instrumentado de Seguridad)

Nivel de Riesgo Aceptable

Capas de Proteccin

PFD = Probabilidad de Falla en Demanda PFS = Probabilidad de Falla Segura FRR = Factor de Reduccin de Riesgo Disponibilidad Nivel Integral de Seguridad SIL (Safety Integrity Level)

3. Demostramos que PFD + PFS + Disponibilidad = 14. Probamos que Disponibilidad no es lo mismo que

Confiabilidad5. Recomendamos referencias

6. Hicimos Ejercicios


32/220


By : L. Garcia


Unidad 2

Evolucin de las

Arquitecturas de los SIS


Agenda

1. Comparacin de Relevadores con PLCs

convencionales

2. Arquitecturas Tradicionales y sus

efectos en los niveles SIL

3. Tolerancia a Fallas y Confiabilidad

4. Causa Comn

5. Diagnst ico


33/220


Vamos a concentrarnos en el procesadorVamos a concentrarnos en el p rocesador

Dentro del procesador lgico del SIS

TP

SBCP

TP

SIS

Antecedentes Histricos


Opciones TecnolgicasOpciones Tecnolgicas

1. Neumtica / HidrulicaNo programable

2. Elctrica / electrnica / mecnica / magnticaCableado directoRelevadores Electro-mecnicosRelevadores de Estado SlidoLgica MagnticaElectrnica de Estado Slido

3. Sistemas Electrnicos Programables (PLC)

La maravilla de los 70s ..!



34/220


Relevadores vs. PLCsRelevadores vs. PLCs

1 - RelevadoresBaja Complejidad/simplesBaja disponibilidad = Alta PFS

2 Sistemas Electrnicos Programables(ejemplo: PLC)

Baja PFSDiagnsticosCapacidad de ClculoDocumentacin (Menos % de errores humanos)



Puede un sistema 10 veces ms confiable ser ms peligroso ?




35/220


Repasemos los conceptos de confiabilidad y disponibilidad

0

50

100

%

Falla Segura Falla Peligrosa

PLCsRelevadores




0

50

100

%

98


Relevadores vs. PLCsRelevadores vs. PLCsRepasemos los conceptos de confiabilidad y disponibilidad


Relevadores PLCs


36/220


0

50

100

%

98

2




Relevadores PLCs


0

50

100

%

98

2

50




Relevadores PLCs


37/220


0

50

100

%

98

2

50 50




Relevadores PLCs


Relevadores: 100 Fallas/milln hrs. PLC: 10 Fallas/milln hrs.0

50

100

Fallas/millnhrs.


98

2 5 5

Aceptemos que un PLC es 10 veces ms confiable que un Relevador




38/220


0

50

100


98

2 5 5

98 >> 5 2 < 5

Es aconsejable subtituir el bamco de relevadores con un PLC en un SIS?



Fallas/millnhrs.

Relevadores: 100 Fallas/milln hrs. PLC: 10 Fallas/milln hrs.


Cul es el punto ? Cul es el punto ?

PLCs convencionales pueden fallar en formapeligrosa, mientras que PLCs de seguridadestn especialmente diseados para fallar enforma segura.En un PLC de seguridad, aquellas fallas queno puedan ser evitadas, deben ser toleradasConfiabilidad es el parmetro que indica lafortaleza del equipo para evitar fallas.Disponibilidad indica las probabilidadesestadsticas de que no haya fallas en unmomento dado.Las fallas de cualquier tipo son toleradas con

Arquitecturas Redundantes.

Arquitecturas Tradicionales en el Procesador de un SIS


39/220


Entonces Entonces Las diferentes arquitecturas en un SIS afectan:

- Su disponibilidad

- Su PFS

- Su PFD

Arquitecturas Tradicionales:

- 1oo1 ( One out of One )

- 1oo2 ( One out of Two )

- 2oo2 ( Two out of Two )

- 2oo3 ( Two out of Three )


Nota: En espaol oo equivale a de


RecuerdenRecuerden !!

Estamos analizando el Procesador

TP

SBCP

TP

SIS



40/220


Arquitecturas de SIS - 1oo1 -Arquitecturas de SIS - 1oo1 -

A

es, digamos 1/100 aos = 0.01 (Tasa de falla)

d es 0.2 x 0.01 = 0.002 por ao

Si consideramos comportamiento linear

(PFD


41/220


Si tambin aqu ignoramos los efectos

de segundo orden,

PFD (1 Ao) ser:

2 x (d x T), 0.004

PFS (1 Ao) ser entonces:

{(

s x T) x (

s x T)}, 0.000064

Los valores de Disponibilidad estarn dados por:

1 - (0.004) - (0.000064) = 0.995

Nota : El valor de PFD ha incrementado as como la

disponibilidad. Esto es porque los relevadores fallan en forma

segura 80% de las veces.

A B

Con los mismos relevadores pero en arreglo diferenteCon los mismos relevadores pero en arreglo diferente 2oo22oo2




A

C

A

B

B

C

Ignorando causa comn y efectos de segundo

orden, una aproximacin de las PFD (1 Ao)sern dadas por:

PDF (1 Ao) ~ 3 (d x T)2 ~ 0.000012

Similarmente:

PFS (1 Ao) ~ 3 (s x T)2 ~0.000192

La Disponibilidad ser entonces:1 - (0.000012) - (0.000192) = 0.999

Nota : El valor de las PFD ha aumentado, pero la

disponibilidad ha mejorado significativamente.

Consideremos ahora un arreglo TMR de relevadoresConsideremos ahora un arreglo TMR de relevadores




42/220


Arquitectura Disponibilidad PFD PFS FRR

1oo1 0.990% 0.002 % 0.008 % 500

1oo2 0. 983% 0.000004 % 0.016 % 250,000

2oo2 0.995 % 0.004 % 0.000064 % 250

2oo3 0.999 % 0.000012 % 0.000192 % 83,333

x 3

x 3


Arquitecturas de SIS - Resumen -Arquitecturas de SIS - Resumen -

Pero estas soluciones generan un problema ... Degradacin


Ejercicios: 4 Anlisis de un PES

Freq. = 10 / year

P = 0.05

P = 0.1

Fa

Pb

Pc

AND

1 - Cul es la frecuencia del evento final en el rbol de falla que se muestra a continuacin?

Pa

Pb

Pc

OR

P = 0.001

P = 0.002

P = 0.005

2 - Cul es la probabilidad del evento final en el rbol de falla que se muestra a continuacin?


43/220



3 - Clasifique los siguientes esquemas de redundancia en ordenascendente de su probabilidad de falla en demanda:Ms Bajo Ms Alto

a) 1oo2 2oo2 2oo3b) 2oo2 1oo2 2oo3c) 2oo3 2oo2 1oo2d) 2oo2 2oo3 1oo2e) 1oo2 2oo3 2oo2

4 - Un transmisor de flujo es usado para sensar una condicin anormaldel proceso. Dos de esos transmisores se instalan en un arreglo 1oo2.Cada transmisor tiene una asa de falla = 0,03 fallas por ao, y existeun factor beta entre ellos del 10%. Cul es la tasa de falla en modocomn?

a) 0,006 fallas / aob) 0,027 fallas / aoc) 0,003 fallas / aod) 0,3 fallas / aoe) Ninguna de las anteriores.


Repasemos el concepto de Probabili dad de Falla en Demanda

(RRF) = 1 / PFD

IEC 61508 - IEC 61511 ANSI/ISA 84.00.01

PFDPFS

PFD + PFS + Disponibilidad = 1

Disponibilidad

: Probabilidad de ser exitosoPFD

: Probabilidad de que falle en forma peligrosaPFS: Probabilidad de que falle en forma segura

Disponibilidad


44/220


T. Entradas CPU T. Salidas


A

B

Arquitectura de un SIS en los 70

Arquitectura 1oo2

En caso de una falla peligrosa ...

A

Al inyectar una falla

Se convierte en 1oo1




T. Entradas CPU T. SalidasA

B

Hagamos las matemticas

Falla enDemanda de

A

Falla enDemanda de

B

Falla endemanda

del sistema

PFD = (

d

x T

i

)

2

PFS = 2 (

s

x T

i

)

A Dispara enFalso

B Dispara enFalso

SIS Disparaen Falso


Arquitectura 1oo2


45/220


Arquitectura 2oo3




A A

B B

C C

Al inyectar una falla

En caso de una falla peligrosa ...




A A


Arquitectura 2oo3agamos las matemticas

PFD = 3 (

D

x T

i

)

2

A Fall a enDemanda

B Falla enDemanda

B Falla enDemanda

C Falla enDemanda

A Fall a enDemanda

C Falla enDemanda

SistemaFalla en

Demanda






46/220


Arquitectura 2oo3agamos las matemticas

A Dis paraen Falso

B Disparaen Falso

B Disparaen falso

C Disparaen Falso

A Dis paraen Falso

C Disparaen Falso

SistemaDispara

PFS = 3 (

S

x T

i

)

2

T. Entrada CPU T. Salida





Hagamos las matemticas Arquitectura 2oo3

Input Card CPU Output Card

Input Card CPU Output Card

Input Card CPU Output CardQue pasa al degradar despus de

una falla en demanda?

B Falla enDemanda

C Falla enDemanda

SistemaFalla en

Demanda

PFD = 2 (

D

x T

i

)




47/220


Arquitectura PFD/PDFU Arquitectura PFD/PDFU

1oo2 0.01 1oo1 0.1

2oo3 0.03 2oo2 0.2

DesarrolloOriginal

Degradada despus de una falla

peligrosa

1970's

Asumamos que

D

y

S

son ambas 0.1, entonces en 1 ao:

La ms segura

Insegura

Muy Segura

Peligrosa



Ejemplo:

1. Tres Transmisores votando 2oo3. PDT100A,PDT100B y PDT100C.

2. El disparo debe ocurrir al alcanzar 85% de laescala.

3. Se necesita hacerle mantenimiento al TransmisorPDT100A, lo cual envuelve forzar desde el camposeales (100% de la escala)

AI

DI

DO

DO

AI

AI

DI

DO

DO

AI

AI

2oo3 PT1oo2 Valves

PDT100APDT100B

PDT100C



48/220


Ejemplo:

1. Tres Opciones:1. Colocar PDT100A en Bypass2. Forzar una lectura por debajo de 85% en

PDT100A

3. Forzar una lectura por encima de 85% enPDT100A

Cual elegira?AI

DI

DO

DO

AI

AI

DI

DO

DO

AI

AI

2oo3 PT1oo2 Valves

PDT100APDT100B

PDT100C

Confiabilidad Vs. Disponibilidad Segura


Ejemplo:

Para responder debemos analizar la lgica devotacin 2 de 3 en el procesador lgico oPES.

AI

DI

DO

DO

AI

AI

DI

DO

DO

AI

AI

2oo3 PT1oo2 Valves

PDT100APDT100B

PDT100C

A

C

A

B

B

C



49/220


Ejemplo:

1 - Colocar PDT100A en Bypass (Ignorar Valoresde A) Recuerde: Des-energizar paradisparar.

AI

DI

DO

DO

AI

AI

DI

DO

DO

AI

AI

2oo3 PT1oo2 Valves

PDT100APDT100B

PDT100C

A

C

A

B

B

C

A Queda un a arqu itectur a 2oo2

B Muy Confiable pero muyinsegura. Si B o C se atascan,no se puede parar la planta.



Ejemplo:

2 - Forzar una lectura por debajo de 85% enPDT100A Recuerde: Des-energizar paradisparar.

AI

DI

DO

DO

AI

AI

DI

DO

DO

AI

AI

2oo3 PT1oo2 Valves

PDT100APDT100B

PDT100C

A

CB

B

C


B Muy Confiable pero muyinsegura. Si B o C se atascan,no se puede parar la planta.

A



50/220


Ejemplo:

3 - Forzar una lectura por encima de 85% enPDT100A Recuerde: Des-energizar paradisparar.

AI

DI

DO

DO

AI

AI

DI

DO

DO

AI

AI

2oo3 PT1oo2 Valves

PDT100APDT100B

PDT100C

A

C

A

B

B

C


B Muy segura pero pococonf iable. Si B o C sedisparan, paran la planta.



Volviendo a la pregunta del Ejemplo:

1. Tres Opciones:1. Colocar PDT100A en Bypass2. Forzar una lectura por debajo de 85% en

PDT100A

3. Forzar una lectura por encima de 85% enPDT100A

Cual elegira?AI

DI

DO

DO

AI

AI

DI

DO

DO

AI

AI

2oo3 PT1oo2 Valves

PDT100APDT100B

PDT100C

- 1 o 2 Si no importa la seguridad- 3 Si la planta debe de estar segura en todo momento



51/220


Lo que realmente se buscaba era:Mejor di sponibilidad que un 2oo3, mejor nivel de seguridad

que un 1oo2, pero con la capacidad de tolerar fallas sincomprometer el nivel de seguridad

Esto fue posible gracias al diagnstico Esto fue posible gracias alEsto fue posible gracias al diagniagnsticotico

Siempre y cuando el

diagnstico se utilice para

proteger las salidas ...

(evitar salidas inseguras)


La gran D


Depende del Factor de Cobertura C

Entonces, debemos preocuparnos solo de aquellasfallas que el diagnstico NO PUEDE detectar

DisponibilidadPFDD

PFDU PFSDPFSU

La gran D



52/220


Ejemplo: Arquitectura 1oo1 con Diagnstico (1oo1D)

Si la tasa de falla es

= D + S

= DD + DU + SD + SU

A

A

Diagnstico

Diagnstico

Arquitectura 1oo1D



= D + S

= DD + DU + SD + SU

A

A

Diagnstico

Diagnstico

XX X

Ejemplo: Arquitectura 1oo1 con Diagnostico (1oo1D)


Arquitectura 1oo1D



53/220


= D + S

= DD + DU + SD + SU

A

A

Diagnstico

Diagnstico

XX XX




Arquitectura 1oo1D


= D + S

= DD + DU + SD + SU

A

A

Diagnstico

Diagnstico

XX XX

DU = D (1 C)




Arquitectura 1oo1D


54/220


Hagamos las matemticas

Falla enDemanda No

Detectada

SistemaFalla en

Demanda

PFD = (

DU

x T

i

)

A

A

Diagnstico

Diagnstico

DU = D (1 C)

... Pero ...

A medida que C 1;DU

0

Primeros sistemas 1oo1D, C no

alcanzaba para SIL3.


Arquitectura 1oo1D


A

A

Diagnstico

Diagnstico

Arch itecture 1oo2DComo alcanzar SIL 3?

SistemaFalla en

Demanda

Falla enDemanda No

Detectadaen A

Falla enDemanda No

Detectadaen B

B

B

Diagnstico

Diagnstico

PFD = (

DU

x T

i

)

2 PFD = (D2 (1 C)2 Ti)2



55/220


Arquitectura 1oo2D

A

A

Diagnstico

Diagnstico

B

B

Diagnstico

Diagnstico

Que pasa a degradar despus

de una falla peligrosa?

Se convierte en 1oo1D



Arquitectura PFD/PDFU Arquitectura PFD/PDFU

DesarrolloOriginal

Degradada despus de una falla

peligrosa

1oo2 0.01 1oo1 0.1

2oo3 0.03 2oo2 0.21970's

1oo1D 0.05 Shut Down N/A

1oo2D 0.0025 1oo1D 0.051990's

FMR 1oo1 0.0005 Paro N/A

FMR 2oo2 0.001 FMR 1oo1 0.0005

Imaginemos un escenario pesimista:

Imaginemos que

D

es 0.1, entonces en 1 ao con un

factor de cobertura de 0.5 (50 %)

Todo lo que se necesita es un factor de cobertura de 0.999


Seguro y Confiable

Despus de varias fallas


56/220


Mxima flexibilidad para poder

acomodar el nivel de redundanciaque satisfaga la FuncinInstrumentada de SeguridadFuncional.

Mezcle arquitecturas paraalcanzar los requerimientos de laaplicacin.

Los equipos de campo puedenahora tener arquitecturas quealcancen el nivel deseado deseguridad y de disponibilidad.

La CPU as como los mdulos

tienen alcanzan un NISindependiente de redundancia,osea: Todos los componentes son capaces

de alcanzar SIL 3

Redundancia solo por disponibilidad

AI

DI

DO

DO

AI

AI

DI

DO

DO

AI

AI

Triple

Simplex

Dual

Flexible Modular Redundancy


Flexible Modular Redundancy

Tolerante a mltiples fallas Arquitectura Fieldbus permite tolerar varias fallas sin

interrumpir servicio ni comprometer Nivel Integral deSeguridad

Redundancia de E/S independiente de Redundanciaen la CPU

Todos los componentes clasificados como SIL3 Sin degradacin

Seguridad no depende de Redundncia

AI

DI

DO

DO

AI

AI

DI

DO

DO

AI

AI

2oo3 PT1oo2 Valves


57/220


Simatic S7-400F/FHSimatic S7-400F/FH

Flexibilidad gracias a separacin fsica de recursos

redundantes ofrece mayores ventajas debido a la

independencia conceptual de Disponibilidad y

Confiabilidad

F por Falla Segura (Fail Safe)

H por alta Disponibilidad (High

Availability)

FH utiliza ambos conceptos


Simatic S7-400F/FHSimatic S7-400F/FHSimatic S7-400F/FHSimatic S7-400F/FH

Profisafe


Funciones Instrumentadas de Seguridad SIL 2 3


SIL 0 para aplicaciones no crticas comoluces anunciadoras

Controlador S7 400F

Mdulos E/S ET 200


58/220



Profisafe





Controladores S7 400FH

Mdulos E/S ET 200


Comunicaciones completamente integradas y certificadas por TV

Los Buses de Comunicacin Seguros

Comunicaciones puerto a puertocertificadas como Seguro a Fallo

sobre Ethernet Industrial

Comunicaciones entre CPUsy mdulos de

E/S,certificadas

como Seguroa Fallo sobre

Profibus

Existen desde los 80

Llegaran a campo?


59/220




Basados en los buses seguros desistemas de seguridad de maquinas




ProtocoloEstndar del

Bus

CapaProfisafe

Data Critica oSegura a Fallo

DataEstndar

ProtocoloEstndar del

Bus

CapaProfisafe

Data Critica oSegura a fallo

DataEstndar

Profibus DPProfinet I/O

ProfibusO

Profinet

} Canalennegro

Comunicaciones Seguras Puerto a Puerto


60/220


Comunicaciones

completamente integradas y certificadas por TV

SIMATIC ET 200M

B+B Sistema Redundante conSIMATIC S7-400FH

AI

DI

DO

DO

AI

AI

DI

DO

AO

AI

IE/PBLink

SIMATIC S7-300F

B+B

Redundant Profibus PA

PROFIsafe PA Devices

Para el 2006


Comunicaciones


SIMATIC ET 200M

B+BSistema Redundante conSIMATIC S7-400FH

AI

DI

DO

DO

AI

AI

DI

DO

AO

AI

IE/PBLink

SIMATIC S7-300F

B+B



De 0 % a 60 % De 60 % a 90 % De 90 % a 99 % Mas de 99 %

1oo1 (0) No se permite SIL 1 SIL 2 SIL 3

1oo1D (0) No se permite SIL 1 SIL 2 SIL 3

1oo2 (1) SIL 1 SIL 2 SIL 3 SIL 4

2oo2 (0) No se permite SIL 1 SIL 2 SIL 3


2oo2D (0) No se permite SIL 1 SIL 2 SIL 3

1oo2D (1) SIL1 SIL 2 SIL 3 SIL 4


Fraccin de Fallo Seguro (SFF)Arq uit ectu ra

(Tolerancia a Fallos)

Mximo nivel int egral de seguridad (SIL) permitido

(SD + SU + DD)SFF = =

Mayor factor de cobertura del diagnostico

Mayor Nivel Integral de Seguridad funcional


61/220


Comunicaciones


SIMATIC ET 200M

B+B Sistema Redundante conSIMATIC S7-400FH

AI

DI

DO

DO

AI

AI

DI

DO

AO

AI

IE/PBLink

SIMATIC S7-300F

B+B




1. Lea el libro de W. Goble, ISA:

The Use and Development of Quantitative

Reliability and Safety Analysis in New

Product Design

2. Cursos disponibles

Functional Safety Engineering 1 & 2

www.exida.com

Telfono: Sellersville +1 215-453-1720

Referencias



62/220


Discutimos las razones detrs del uso de PLCs de

seguridad en vez de PLCs convencionales.

Demostramos como las arquitecturas en un PES para un

SIS afectan las PFD, las PFS, el FRR y la disponibil idad.

SIL (Safety Integrity Level) Analizamos y comparamos arqui tecturas tradicionales

usadas en SISs.

Analizamos el Diagnst ico y como afecta la seguridadintegral del PES.

Recomendamos fuentes de informacin sobre estos temas. Hicimos Ejercicios

Resumen


By : L. Garcia


Unidad 3

S7-400F/FH


63/220


Agenda

1. Funcionando en Modo Degradado

2. Flexibilidad con comunicacin cruzada

3. Funcionamiento con multiples SIL en un

solo sistema


CPU

CPU

CPU

I/O

I/O

I/O

I/O

I/O

I/O

I/O

ODM

CCM

I/O

I/O

I/O

I/O

I/O

I/O

I/O

I/O

I/O

ODM

CCM

I/O

I/O

I/O

I/O

I/O

I/O

I/O

I/O

I/O

CCM

I/O

I/O

I/O

I/O

I/O

I/O

I/O

I/O

I/O

RecapitulandoRecapitulando

2oo32oo3 -- TMRTMR

1ra Falla1ra FallaPeligrosa noPeligrosa no

para la plantapara la planta

22dada FallaFalla

Peligrosa, NOPeligrosa, NO

PUEDE PARARPUEDE PARAR

LA PLANTALA PLANTA

1oo1D1oo1D -- DualDual

11rara FallaFallaPeligrosa, para laPeligrosa, para la

planta enplanta en FORMAFORMA

SEGURASEGURA

1oo2D1oo2D -- QuadQuad

11rara FallaFallapeligrosa, cede elpeligrosa, cede el

ControlControl

22dada Falla Peligrosa,Falla Peligrosa,

para la planta enpara la planta en

FORMA SEGURAFORMA SEGURA


64/220


Simatic S7-400F/FHSimatic S7-400F/FH

Profisafe



Estacin de IngenieraEstacin de Operacin

Controlador

Entradas

Salidas

Como lo

Hacen?


65/220



Controlador

Entradas Salidas

Controller SIL3

Opera

Codifica

Operadiversificado

Operacin

Operacindiversa

Resultado

Resultadodiverso

ComparaPare

TiempoRedundancia en Tiempo

A, B (B ul)

/A, /B (Word)

C

D = /C

a D /C

AND

OR


Reading all Inputs defined in that cycle

Application Program

Writing all Outputs defined in that cycle

Multiple Scan Rates

diagnostic interrupt

e.g.10m sec 50m sec 500ms ec

I/O

PCS 7 Arquitecture del controlador

High Speed Cyclic and Acyclic Multi-tasking Operating System

500 msec.50 msec.

10 msec.

Acyc lic


66/220


Redundancia en tiempo con procesamiento de instruccionesdiversificadas

Ejecucin lgica del programa y monitoreo de la fluidez.

Operaciones buleana y de palabras en localizaciones separadasdel CPU.

Dos temporizadores independientes en el hardware.

En vez de utilizar CPU redundantes, como otros sistemas, el S7-400F utiliza redundancia diversificada de programa.

Opera

Codifica

Operadiversificado

Operacin

Operacindiversa

Resultado

Resultadodiverso

Compara Pare

TiempoRedundancia en Tiempo

A, B (B ul.)

/A, /B (Word)

C

D = /C

a D /C

AND

OR



Controlador

Entradas

Salidas

Circuito de Diagnstico

Circuito de Entradas

Circuito de Entradas

CPU

CPU

Circuito de Diagnstico

Circuito deDiagnstico


1

12

24

13

SIL 3 Entradas Cableadas en 1oo2D


67/220



Controlador

Entradas Salidas

1

24

Circuito de DiagnsticoCircuito de Entradas

CPU


SIL 2 Entradas Cableadas en 1oo1D



Controlador

Entradas

Salidas

Circuito de

Salida

Interruptorde Grupo

Diagnstico


CPU

CPU



Circuito

Retro -alimentacin

Typical for eachoutputchannel

Uno por grupo de 5 Canales

SIL 3 Salidas Cableadas en 1oo1D


68/220



Profisafe

En gi neer in g St at io n Op er at or S tat io n




d

C

f

c

a

c

o

F

e

b

d

M

m

a


CPU

CPU

CPU

I/O

I/O

I/O

I/O

I/O

I/O

I/O

System Cabinet

TMR

En gi ne er in g S ta ti on Op erator S tat io n

Si se pierde el gabinete ...

El sistema para el Proceso

Lo que al final se traduce en

inestabilidad de las variable y por

ende se crea peligro.

El Mensaje de fondoCon TMR


69/220


CPU

CPU

CPU

I/O

I/O

I/O

I/O

I/O

I/O

I/O

Esto es porque estas arquitecturas fuerzan a poner

TODOS los huevos en una canasta

Los tres CPUs estn en un chasis individual con todos los

mdulos de E/Ss.

Tres CPUs

Triple mdulos de E/S

No es posible el distribuir recursos

redundantes en gabinetes separados.

Sin contar con el hecho de que el nivel de

seguridad depende de la votacin de dichos

recursos.

El Mensaje de fondo


Veamos la arquitectura FMR.

Cada componente puede ser

colocado en un gabinete separado.

Por lo que tolera mltiple

fallas sin comprometer el

nivel integral de seguridad.

Como se vi el SIL depende del Diagnstico y la redundncia se

utiliza para obtener confiabilidad.

El Mensaje de fondo


70/220


s

Main controller

El Mensaje de fondo


Main controller

El Mensaje de fondo

s

Redundant Controller


71/220


Main controller

El Mensaje de fondo


s

Main I/Os


Main controller

El Mensaje de fondo


Main I/Os

s

Redundant I/Os


72/220


Main controller

El Mensaje de fondo


Main I/Os

Redundant I/Os

s s

Terminals



ss s ss

Controller

Cabinet

Controller

Cabinet

I/Os

Cabinet

I/Os

Cabinet

Terminals

Cabinet

s

Terminals

Cabinet

Gracias a la comunicacin cruzada

que nos permite Profisafe DP

El Mensaje de fondo

No se ponen TODOS los huevos en

una sola canasta


73/220



ss s ss

Controller

Cabinet

Controller

Cabinet

I/Os

Cabinet

I/Os

Cabinet

Terminals

Cabinet

s

Terminals

Cabinet

Sistemas de Alta Seguridad

y Confiabilidad

Despus de un accidente mayor, el sistema sigue funcionando

con el mismo nivel integral de seguridad.

El Mensaje de fondo


En gi ne er in g Stat io n Op erator Stat io n

ss s ss

Controller

Cabinet

Controller

Cabinet

I/Os

Cabinet

I/Os

Cabinet

Terminals

Cabinet

s

Terminals

Cabinet


y Confiabilidad

Despus de dos accidentes mayores, el sistema sigue

funcionando con el mismo nivel integral de seguridad.

El Mensaje de fondo


74/220


En gi ne er in g Stat io n Op erator Stat io n

ss s ss

Controller

Cabinet

Controller

Cabinet

I/Os

Cabinet

I/Os

Cabinet

Terminals

Cabinet

s

Terminals

Cabinet


y Confiabilidad

Despus de tres accidentes mayores, el sistema sigue

funcionando con el mismo nivel integral de seguridad.

El Mensaje de fondo


1. Lea el libro de W. Goble, p/ ISA:

Evaluating Control Systems Reliability

Techniques and Applications

2. Tome el curso ISA ES35:

Evaluating Control Systems Safety and

Reliability

Reservaciones al +1- 919-549-8411

Referencias



75/220


Resumen

Cubrimos y analizamos como los sistemas trabajan en

modo degradado.

Presentamos y definimos arquitecturas tolerantes a fallas

que no degradan.

Flexibilidad con mltiple comunicacin de

ramales con Profisafe

Discutimos como tener mltiple funciones instrumentadas

de seguridad con SIL diferentes, usando un solo PES.

Presentamos Simatic S7 400F/FH y la filosofa FMR

Recomendamos Literatura y cursos complementarios


By : L. Garcia


Unidad 4

S7-400F/FH


76/220


Agenda

1. El ciclo de vida de Seguridad IEC 61511

2. Simatic Safety Matrix

3. Seguridad Out of the Box


Volvamos a las causales de accidentes

Especificaciones

44 %

Cambios despus de

arranque

20 %

Los estndares fueron diseados para evitar estas causas

Operacin yMantenimiento

15 %

Instalacin y arranque

4 %Diseo e Implementacin

15 %

I

E

C

6

1

5

8

I

S

A

S

P

8

4

0

1

I

E

C

6

1

5

1

1

A

N

S

I

/

I

S

A

8

4

0

0

0

1


77/220


Concept

Overall ScopeDefinition

Hazard & RiskAnalysis

Overall SafetyRequirements

Safety RequirementsAllocation

Safety-relatedsystems :E/E/PES

Realization

Overall Installation& Commissioning

Overall SafetyValidation

Overall Operation &Maintenance

Decommissioning

Safety-relatedsystems : other

Technology

Realization

External RiskReductionFacilities

Realization

Overall Planning

Installation &Commissioning

Planning

ValidationPlanning

Operation &Maintenance

Planning

11109

5

4

3

2

1

12

13

14

16

Overall Modification& Retrofit15

876

IEC61508 Safety Li fe Cycle


Concepto

Definicin General del alcance

Anlisis Riesgo & Peligro(HAZOP)

Requerimientos generalesde Seguridad

Ubicacin de los requerimientosde Seguridad

Sistemas Relacionadoscon Seguridad

E/E/PES

ProduccinRealizacin

Instalaciones GeneralesY Arranque

Validacin GeneralDe Seguridad

Operacin y MantenimientoGeneral

Parada

Sistemas relacionadoscon Seguridad

Otras Tecnologas

ProduccinRealizacin

InstalacionesExternas para

Reduccin de Riesgo

ConstruccinRealizacin

Planeamiento General

Planeamiento deLa instalacin y

Arranque

Validacin delPlan

Planeamiento deOperacin y

Mantenimiento

11109

5

4

3

2

1

12

13

14

16

Modificacin Generaly Modificaciones

15

876

El cic lo de vida - IEC61508

44%

Fase de Anlisi s

(Usuario / Consultor)

Especificaciones

M

a

t

r

i

z

c

a

u

s

a

y

E

f

e

c

t

o


78/220


Concepto






E/E/PES

ProduccinRealizacin




Parada


Otras Tecnologas

ProduccinRealizacin


Reduccin de Riesgo




Arranque

Validacin delPlan


Mantenimiento

11109

5

4

3

2

1

12

13

14

16


15

876

Fase de Anlisis




Concepto






E/E/PES

ProduccinRealizacin




Parada


Otras Tecnologas

ProduccinRealizacin


Reduccin de Riesgo




Arranque

Validacin delPlan


Mantenimiento

11109

5

4

3

2

1

12

13

14

16


15

876

15%

Diseo e

Implementacin

C

o

n

f

i

g

u

r

a

c

i

n

P

L

C

d

e

S

e

g

u

r

i

d

a

d

Fase

Implementacin

(Vendedor

/Contratista/Usuario)


Fase de Anlisis



79/220


Concepto






E/E/PES

ProduccinRealizacin




Parada


Otras Tecnologas

ProduccinRealizacin


Reduccin de Riesgo




Arranque

Validacin delPlan


Mantenimiento

11109

5

4

3

2

1

12

13

14

16


15

876


Fase de Anlisis


FaseImplementacin

(V

endedor/Contratista/Usuario)


Concepto






E/E/PES

ProduccinRealizacin




Parada


Otras Tecnologas

ProduccinRealizacin


Reduccin de Riesgo




Arranque

Validacin delPlan


Mantenimiento

11109

5

4

3

2

1

12

13

14

16


15

876

15%

Operacin y

Mantenimiento

P

L

C

/

H

M

I

H

e

r

r

a

m

i

e

n

t

a

s

y

P

a

n

t

a

l

l

a

s

Fase Operacin

(Usuario / Contratista)


Fase de Anlisis


Fase

Implementacin

(Vendedor



80/220


Concepto






E/E/PES

ProduccinRealizacin




Parada


Otras Tecnologas

ProduccinRealizacin


Reduccin de Riesgo




Arranque

Validacin delPlan


Mantenimiento

11109

5

4

3

2

1

12

13

14

16


15

876

15%


Fase de Anlisis


FaseImplementacin

(V


Fase Operacin



Concepto






E/E/PES

ProduccinRealizacin




Parada


Otras Tecnologas

ProduccinRealizacin


Reduccin de Riesgo




Arranque

Validacin delPlan


Mantenimiento

11109

5

4

3

2

1

12

13

14

16


15

876

20%

Cambios despus

de Arranque

Retorno a la faseApr opi ada

D

o

c

u

m

e

n

t

a

c

i

n


Fase de Anlisis


Fase

Implementacin

(Vendedor


Fase Operacin



81/220


Concepto






E/E/PES

ProduccinRealizacin




Parada


Otras Tecnologas

ProduccinRealizacin


Reduccin de Riesgo




Arranque

Validacin delPlan


Mantenimiento

11109

5

4

3

2

1

12

13

14

16


15

876

Retorno a la faseApr opi ada


Fase de Anlisis


FaseImplementacin

(V


Fase Operacin



Concepto






E/E/PES

ProduccinRealizacin




Parada


Otras Tecnologas

ProduccinRealizacin


Reduccin de Riesgo




Arranque

Validacin delPlan


Mantenimiento

11109

5

4

3

2

1

12

13

14

16


15

876

Cada fase define:

Fines

Requerimientos

Alcances

Recursos

Soportes

Retorno a la faseApropi ada


Fase de Anlisis


Fase

Implementacin

(Vendedor


Fase Operacin


Significa: Papeleo y Tiempo

Podemos Automatizarlo?


82/220


Anlisi s de Riesg o y di seo de capas de Prot eccinSub-Clusula 8

Asig nacin d e func iones de Seguri dad a SIS uotros medios de reducir Riesgo

Sub-Clusula 9

Especificaciones de Requerimientosde Seguridad para el SIS

Sub-Clusula 10

Diseo y Desarrollode un SIS

Sub-Clusula 11

Diseo y Desarrollode otros medios de

reducir RiesgoSub-Clusula 9

Instalacin, Puesta en Servicio y ValidacinSub-Clusula 14

Operacin y MantenimientoSub-Clusula 15

ModificacinSub-Clusula 15.4

Retiro de ServicioSub-Clusula 16

Gerencia y

Avalu deSeguridadFuncional

Sub-Clusula5

Estructura yPlaneamiento del Ciclode Vida deSeguridad

Sub-Clusula6.2

Verificacin

Sub-Clusula7, 12.7



Sub-Clusula 9


Sub-Clusula 10


Sub-Clusula 11











Sub-Clusula 9


Sub-Clusula 10


Sub-Clusula 11







Gerencia y

Avalu deSeguridadFuncional

Sub-Clusula5

Gerencia y

Aval

En forma similar la IEC 61511 ANSI/ISA 84.00.01

o deSeguridadFuncional

Sub-Clusula5

Estructura yPlaneamiento del Ciclode Vida deSeguridad

Sub-Clusula6.2

Estructura yPlaneamiento

del Ciclode Vida deSeguridad

Sub-Clusula6.2

Verificacin

Sub-Clusula7, 12.7

Verificacin

Sub-Clusula7, 12.7



Asig nacin de f unci ones de Segu rid ad a SIS uotros medios de reducir Riesgo

Sub-Clusula 9


Sub-Clusula 10


Sub-Clusula 11







Sub-Clusula 9


Sub-Clusula 10


Sub-Clusula 11









Sub-Clusula 9


Sub-Clusula 10


Sub-Clusula 11





Documentacin



83/220


Anlisi s de Riesg o y di seo de capas de Prot eccin

Sub-Clusula 8


Sub-Clusula 9


Sub-Clusula 10


Sub-Clusula 11






Sub-Clusula 8


Sub-Clusula 9


Sub-Clusula 10


Sub-Clusula 11






Sub-Clusula 8


Sub-Clusula 8


Sub-Clusula 8


Sub-Clusula 9


Sub-Clusula 10


Sub-Clusula 11





Documentacin

C

o

n

f

i

g

u

r

a

c

i

n

P

L

C

d

e

S

e

g

u

r

i

d

a

d





Sub-Clusula 9


Sub-Clusula 10


Sub-Clusula 11







Sub-Clusula 9


Sub-Clusula 10


Sub-Clusula 11









Sub-Clusula 9


Sub-Clusula 10


Sub-Clusula 11





Documentacin



84/220


El ciclo de vida - IEC61508/61511/ANSI/ISA 84.00.01


Ejercicios: 5 El Ciclo de Vida segn la ANSI/ISA 84.00.01

Puede un Contratista tomarresponsabilidades por el CVSF?

Polticas Corporativas

Como ayuda Siemens


85/220


Simatic Safety Matrix

Orgenes de la matriz Causa y Lg ica de Efecto

Amer ican PetroleumInstitute (API)

PrcticasRecomendadas 14C

SIS para plataformascosta afuera

Anl is is deseguridad condiagrama deevaluacin

S

I

M

T

I

C

S

F

E

T

Y

M

T

R

I

X


Beneficios de trabajar con Simatic Safety

Matrix

Potente lenguaje de conf iguracin Visualizacin de lgica, fcil y amigable.

Diseo, Documentacin, Pruebas y Monitoreo idnticos

Reduce los esfuerzos de desarrollo Insercin automtica de canales con sus drivers

Incluye Primera Alarma - First Out

Visualizacin Automtica para PCS7 OS

Incluye interfase del usuario para lgica de seguridad (Bypass, Reset,Override, etc)

Elimina errores de programacin Lgica se genera automticamente de los requerimientos de seguridad

Insercin automtica del CFC de la matriz

Simplifica la documentacin Crea reportes

incluye un rastreador de versin

Maneja y verifica cambios en la configuracin (IEC 61511) Incluye secuenciado de eventos

Generacin automtica de cambios en la do cumentacin


86/220


Simatic Safety Matrix - Generalidades

Una Causa es unadesviacin en el proceso

Un efecto es unarespuesta al proceso

La interseccin define larelacin entre la causa yel efecto

Definible como Mx.: 128 causas

128 efectos

500 intersecciones


Workstation Independiente

Estacin de Operacin (OS)Estacin de Ingeniera (ES)

Controlador (AS)

Safety Matrix EditorPara crear y editar la lgica de laMatriz en una estacin externa alambiente de STEP 7 PCS7.

Safety Matrix En tres sabores

Safety Matrix Engineering

material de apoyo seminario 1 dia.pdf

Documents